本帖最后由 新手703537 于 2022-10-10 11:17 编辑
使用vAD进行IPV6改造案例分享 一、测试背景
某学校需要在不改变网络结构的前提下,使校官网支持用户在IPV6环境下访问,已提前联系运营商在原有IPV4线路的基础上开通了IPV6的地址(v4v6双栈);希望使用AD的虚拟服务功完成这次改造。 二、测试准备
收集需要改造的网站域名并联系域名服务商做好4A记录 | AAAA | www.*****.cn | 240e:6a0:***:***:****::11 |
测试设备准备:使用OVA模板文件导入ESXI平台搭建虚拟AD,并规划好设备需要的IP | 原有防火墙 | 虚拟AD | | 240e:6a0: ***:***:****::10/68 | 240e:6a0: ***:***:****::11/68(NET1) | | ***.200.200.1 | ***.200.200.2(NET2) |
从运营商处获得IPV6线路信息: 用户地址段:240e:6a0:***:***::/64 本端:240e:6a0:***:**::3/127 对端:240e:6a0:***:**::2/127 方案拓扑: 三、设备配置 3.1虚拟AD准备 社区下载AD7.0.8R5的OVA安装包,导入ESXI平台;开启虚拟机后可以进入后台配置管理IP,选择第二项进行配置。
这边虚拟化平台将AD的四张网卡都桥接到了同一个物理口,由于后台配置IP时不可以配置网关,所以需要电脑直连ESXI服务器或者配置和管理IP同段的IP通过二层交换机才可以登录到虚拟AD的控制台。 3.2设备IP配置
使用管理IP登录控制台,在后台配置的管理IP不会显示在管理口配置上面,需要手动再配置一次;正式环境中可以将管理口桥接到专用的虚拟交换机上,或者直接用业务IP管理设备。 下面配置业务IP,需要配置V6和V4两个IP;选择NET1配置V6信息,选择WAN属性,填写网关IP即可;由于运营商给了/64位的用户段IP,考虑内网是三层环境,这里进行了IPV6的子网划分,将240e:6a0:***:***:****::11/68作为AD的互联IP,对端防火墙配置240e:6a0:***:***:****::10/68。 然后选择NET2配置V4信息,选择LAN属性,填写DNS即可。确认了对端防火墙支持在同一物理接口下同时配置V4V6地址,所以当前虚拟化环境可以将AD的NET1/2接口对接防火墙的一个物理口;也可以在同一接口下同时配置V4V6地址实现V4V6双栈。 完成防火墙内外网口的地址配置后,建议首先进行连通性测试;测试分为三个方面,1、AD到内网服务器的连通性,可以ping或者sock端口进行测试;2、如AD需要在线激活授权或者有天窗的配置需要保证AD可以连通ipv4外网,可以正常解析域名;3、设备V6地址的连通性,可以在设备控制台ping 240c::6666,同时从外网ping设备的V6地址进行测试。 3.3发布虚拟服务
首先添加内网服务器到节点池,选择应用负载-节点池-新增,如果只有单台服务器则只要关注ip端口和健康检查配置,多台服务器需要配置权重以及其他优化选项;当前测试环境只涉及一台业务服务器。 下面配置虚拟服务,选择应用负载-虚拟服务-新增,服务类型根据实际业务情况进行选择,当前环境是HTTP类型,IP地址填写4A记录里对应的V6地址,是用户实际访问的地址,需要注意这个IP需要同时配置在物理接口上才会生效;端口填写HTTP对应的80端口,节点池选择上一步添加的内网服务器,其他保持默认即可。 四、功能测试
首先需要搭建纯V6环境进行测试,建议电脑连接手机热点,确认获取到V6地址后关闭V4协议。
然后确认域名4A记录是否已经做好,用nslookup命令解析域名查看返回结果中是否有V6地址,需要注意,解析结果与DNS服务器是V4还是V6无关。 测试环境和解析都没有问题后,可以在浏览器输入域名进行访问测试,正常情况就可以直接打开网站了。 五、注意事项
1、设备需要填写V4的默认路由,用作设备联网以及访问其他网段的服务器使用。 2、测试设备激活可以选择在线激活,先点击界面上申请授权的按钮,填写客户信息后授权账号就会短信发送到对应手机,然后选在线激活填写就行,需要保证设备可以联网。 3、运营商提供的V6地址通常有两种格式,一是只提供了一段/64位的地址段,互联地址包含在用户地址段中;另一种是同时提供/127位的互联地址和/64位的用户地址段;实施准备阶段需要提前确认好地址信息,如果不属于以上两种格式则需要联系运营商再次确认。 4、涉及到存在安全设备的情况可以先放通所有V6的流量,功能测试正常后再对V6流量进行安全策略的配置。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-11 11:36
工程师1级 
